Splunk-Ereignisaktionen

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer
  • Bei der Überprüfung von Splunk-Protokollen können Sie schnell Sicherheitsereignisse und Security Incidents aus jedem Element im Protokoll mithilfe der Ereignisaktionen erstellen.

    Wenn Sie auf eine dieser Aktionen klicken, wird ein manueller Suchbefehl erstellt, der mit den Daten im Protokolleintrag ausgefüllt ist, und führen Sie ihn aus, um den neuen Datensatz zu generieren.

    Diese Aktionen können einfach konfiguriert werden, um Ihren normalisierten Daten Felder hinzuzufügen. In Splunk mit Einstellungen > Felder > Workflow-Aktionen, Sie können eine dieser Aktionen mithilfe der manuellen Suchfelder auswählen und bearbeiten.

    Sie können auswählen, wo die Aktion für welche Felder angezeigt wird, und die Suchzeichenfolge ändern, die einen Suchbefehl enthält, um Ihren Datensatz zu erstellen.